Cybersikkerhed fra et bestyrelses- og ledelsesperspektiv
Kære bestyrelsesmedlemmer og ledelse i offentlige og private virksomheder
IT- og OT-sikkerhed er blandt de største udfordringer, vi står over for i dag, både i den offentlige og den private sektor. Som ledere har vi et ansvar for at forstå og håndtere disse risici. Med de e tekst ønsker jeg at give indsigt i, hvordan vi kan håndtere de mest presserende udfordringer – og sikre, at vi ikke falder i de mest almindelige fælder. Vi må bevæge os væk fra “kryds i kassen”-syndromet og fokusere på konkrete handlinger – på hvad og hvordan. Det er et lederansvar.
Min personlige erfaring
For et par år siden gik jeg næsten i panik, da jeg forstod, hvor eksponeret vi var som virksomhed, og hvilke dimensioner der skal håndteres i praksis for at reducere it-sikkerhedseksponeringen. Fra et bestyrelses- og ledelsesperspektiv skal it-sikkerheden dække tre hovedområder:
- Forebyggelse af forretningsafbrydelser
- Sparer tid og omkostninger
- Forbedringer og overholdelse
Jeg er uddannet i erhvervsøkonomi og har arbejdet i teknologibranchen i omkring 25 år. Med tiden er jeg trådt ind i toplederroller og har gradvist distanceret mig fra detaljerne, efterhånden som det teknologiske landskab udvikler sig hurtigt. Min paniske erkendelse opstod, da vi gik ind på markedet med services til styring af kritisk infrastruktur for kunder. Min frygt bundede i muligheden for, at vi ikke gik dybt nok eller var specifikke nok, hvilket ku e føre til fremtidige forhindringer på grund af eksterne trusler, der skadede eller lammede vores infrastruktur – og dermed hindrede vores leverancer og kunder.
Der tales meget om sikkerhed og compliance. Men meget af det forbliver overfladisk, fordi vi ikke rigtig forstår problemerne og ofte drager konklusioner på et spinkelt grundlag. Mange lider også af “kryds i boksen”-syndromet, hvor virkeligheden efterlader et betydeligt hul mellem hensigt og praksis. Udfordringen med at gå dybt nok er kompleks, men nøglefaktorer som viden, kapacitet, dagsordener, naivitet, kultur og risikovillighed er centrale i ligningen.
I de e sammenhæng fokuserer jeg på viden og områder, som ofte er underkommunikerede på ledelsesniveau. Der er en tendens til at nøjes med overskrifter og buzzwords. For at komme ud over seminar- og konferencetilstanden er vi nødt til at blive konkrete omkring disse emner.
Ambitioner og evnen til at være konkret
Der er mange misforståelser og begrebsforvirringer. Målet er ikke at navigere i de e jungle, men at fremhæve områder, der ofte undervurderes, og hvor svaghederne er størst – selv i miljøer, der fokuserer på sikkerhed og tager emnet alvorligt. Diskussioner fører sjældent til de rigtige resultater, hvis de er udformet i binære termer. Alle forstår, at der er nuancer, men nogle gange er vi nødt til at forenkle for at skabe diskussioner og måske endda gnidninger.
Lad os hæve ambitionen for IT-sikkerhed. På en skala fra 0 til 10 er en score på 7 ikke god nok. Opfattelsen af, at det er uoverkommeligt dyrt at nå op på 9, skal udfordres – selvom det i høj grad er sandt, hvis en virksomhed tror, at den kan håndtere hele spektret alene uden ekstern hjælp.
Hvis vi er enige om ambitionsniveauet, er der nogle områder, hvor svaghederne træder tydeligere frem, når vi bevæger os ud over det grundlæggende og indlysende. Ikke i nogen særlig rækkefølge:
- 1. Kapitalforvaltning
Dette omfatter al hardware og software, der er forbundet med infrastrukturen. Udfordringerne omfatter opretholdelse af et omfattende overblik, styring af versioner/opgraderinger, brug og konfigurationer. Hvis man antager, at en kæde kun er så stærk som det svageste led, så udgør manglende kontrol over enheder, der er forbundet med infrastrukturen, en betydelig risiko. Ofte ligger de største risici i de mere perifere områder.
- 2. Løbende efterretninger om trusler
Overvågning af trusler og afvigelser og forståelse af de nødvendige handlinger baseret på indsamlet information. I betragtning af kompleksiteten i det moderne trusselslandskab – hvor trusler kan komme fra ukendte modstandere – er det naivt at tro, at dette kan klares alene.
- 3. operationel teknologi (OT)
Fokus er typisk på IT, men sårbarhederne kan være mere udtalte i områder, der ikke traditionelt klassificeres som IT. OT-miljøer består ofte af en jungle af enheder, som er en del af den digitale infrastruktur, hvilket skaber en underkommunikeret sårbarhed. Myndighederne forsøger at regulere dette ge em rammer som NIS2, men regler alene løser ikke de praktiske udfordringer. Det er tikkende sikkerhedsbomber, der er forbundet med virksomhedens infrastruktur, og som ofte kommer ind ge em såkaldte bagdøre.
- 4. Overvågning af det mørke net
Der er betydelig aktivitet på et gråt marked, som udnytter kommercielle muligheder langt ud over de grundlæggende værdier, vi opretholder i den vestlige verden. Dette marked er ikke geografisk defineret. Proaktiv overvågning af disse aktiviteter kan reducere risikoen betydeligt.
- 5. Alarmhåndtering
IT-afdelinger bombarderes med en overvældende mængde advarsler. Uden aktiv systematisering bliver reaktionerne tilfældige, og sofistikerede trusler kan slippe ige em. Den tid, der kræves for at få et overblik, kan vise sig at være fatal.
- 6. Sikkerhed i skyen
For at skabe balance mellem omkostninger, effektivitet og kapacitet bruger de fleste virksomheder en kombination af cloud-tjenester og interne strukturer. De e hybridmodel introducerer yderligere sikkerhedsudfordringer og angrebsflader, som er lette at undervurdere.
- 7. Overensstemmelse
Risikorapportering skal struktureres i et format, der fungerer som et effektivt ledelsesværktøj, der muliggør effektiv håndtering af lovkrav, dokumentation, analyse og rettidig reaktion på hændelser. Bestyrelsen har ansvaret, men mangler ofte direkte kontrol.
Det er muligt at gøre betydelige fremskridt – viden og vilje
Har min første panik lagt sig? Ja, det er den. Ingen kan give absolutte garantier, men ved at sikre yderpunkterne i værdikæden styrer vi risikoen for både os og vores kunder. Vi modtager ca. 1,5 millioner begivenheder pr. sekund fra vores kunder. Kilderne er mangfoldige. Samspillet mellem teknologi, me esker og processer er afgørende for at sikre sikkerheden og bevare integriteten af kritisk infrastruktur. En systematisk og holistisk tilgang er afgørende for succes.
Vi lever i en kompleks verden, hvor sikkerhedstruslerne bliver mere og mere omfattende. Som samfund kan ingen enkelt enhed gøre alt, men alle kan bidrage til at forbedre det overordnede sikkerhedslandskab.
Som organisation – uanset om det er i den offentlige eller private sektor – er vores fokus på forretningsudvikling, ge emførelse af strategier og opnåelse af vores mål. Vi vil gerne undgå at gå glip af muligheder, og it-sikkerhed udgør en betydelig trussel mod vores ambitioner. For at imødegå dette har vi brug for en sikkerhedsstrategi, der er omfattende og robust.
Har du et par soldater, en deling eller en hel forsvarsstyrke? De virkelige trusler ligger i detaljerne. “Godt nok” bør være en bevidst beslutning, og vi må ikke undervurdere styrken af elementer, der historisk set har været betragtet som mindre vigtige. At forstå detaljerne og vide, hvor man skal lægge ekstra fokus, har været min prioritet i de e diskussion. Det starter med ambitioner og slutter med lederskab.
Jarl Øverby
Koncernchef, NetNordic GroupIndholdsfortegnelse
Indholdskategori
Indholdstype
Relateret indhold
Hvornår skal man overveje en SOC-løsning: Læs vores guide til implementering af SOC!
Detect your cyber security breaches – before it is to late!
Cyber hygiejne: De fire dimensioner af cybersikkerhed
Kontakt Os
Du er velkommen til at ringe til os direkte på vores telefonnummer +45 4331 4000, send os en mail sales.dk@netnordic.com, eller udfyld formularen, så vender vi tilbage hurtigst muligt! Tak!
